按上一篇博文中提到的计划,我应该在这篇博文中叙述电信手机号卡带给我的恶劣体验。但是,最近遇到了一件事,涉及到二维码“钓鱼”,我决定先把这件事情写出来,以警示大家,二维码不一定安全,请不要轻信。如何进行断定?请看下文。

首先,我讲述一下这起二维码“钓鱼”事件的经过。

在一个QQ群中,有人发了一张所谓“联通青春卡”的广告,酷似以往联通宣传的风格,下方有一个二维码。扫码进去之后,会弹出所谓的套餐介绍页面,点击“立即申请并邮寄到家”会进入个人信息填写页面,下方有要求上传身份证正反面照片的选项。网页外观与联通官方申请新号码的页面极其相似。

一开始引起我警觉的有两点:第一,联通官方申请新号码,是可以选择号码归属地及号码的,从未有过号码与归属地随机发放的情况;第二,联通官方申请新号码时,在手机网页端不需要上传身份证正反面,而是收到卡以后按程序激活时才会上传身份证正反面,外加手持身份证照片。后来又改成了持卡人亲自前往营业厅或代理点激活。

几个小时后,我又研究了一下这个所谓的“青春卡”。我用Firefox手机浏览器扫码,发现打开的网址并不是联通的官方域名,其域名也与联通不相吻合。而是一个叫“快付”的名字。我直接进入这个二级域名,或进入根域名,发现打开的页面都是“快付”的登录页面,且没有注册功能。这说明它与联通没有任何关系。

图1:广告页面(1)

图1:广告页面(1)

图2:模仿联通的页面

图2:模仿联通的页面

类似的,在这个QQ群中,还有人发布多个类似的广告。我再找出其中的一个典型进行分析。

图3:广告页面(2)

图3:广告页面(2)

打开之后的页面,与“青春卡”的申请页面完全一致(见图2)。其域名,与上面那个域名不一样,但是,它与联通同样没有任何关系。

甚至,还有一个更神奇的网站。它会让你先选号,而且号码看起来都不错,选中号码以后,再进入填写信息页面。该页面与上述页面对比,除了归属地和号码显示的为事先选择的号码,其他页面元素均完全一致。

再看它们的“入网协议”,文字叙述笼统,甚至还有错别字。图4中可以看到明显的问题,截图范围外的区域也有问题。

图4:所谓的“入网协议”

图4:所谓的“入网协议”

至此可断定,这些页面均为假冒的,很有可能是用来收集真实身份证正反面的钓鱼网站,甚至还收集真实的收件地址及电话号码。这些信息如果拿到黑市去卖,如果收集的信息足够多,是可以卖到好价钱的。曾经与某些人讨论信息被卖的事情时,有些人不屑一顾的说:“你的信息能值多少钱?谁能卖你的信息?”如果按价格算,平均每个信息的价格可能不高。但是,它的拷贝成本很低,可以重复被卖;而且,买信息的人,如果将其用作不当途径,给你带来的损失可不是用金钱能够衡量的。

为何很多人不容易鉴别它是个虚假网站呢?

二维码不是我朝人发明的,但在特殊的网络(隔开)管(隔开)制之下,在我朝把二维码推广开来的,却是我朝的威信。一开始威信有了扫码功能,很多人便用威信扫码。这些人将此写入潜意识,并执着的认为,只有它才能扫二维码。后来,和它有同一个爹的软件也有了扫码功能,某宝也有扫码功能。其他软件,如部分浏览器,也有扫码功能。但是,在这些人的世界里,只有威信和它的亲兄弟才能扫码。

这便出现了一个严重的问题。威信及其兄弟,以及某宝,扫了二维码之后,会利用其内置的浏览器打开二维码中的网址,并且:无法看到这个网址的具体地址,只是显示了这个网页的标题。有独立博客建设经验的博主应该知道,这就是<title></title>之间那部分。因此,通过这种方式,无法根据具体的网址判断网页的真实性。

用浏览器扫码就不一样了,它可以看到真实的网址,可根据域名来判断网页是否真实。如果某些域名,无法直接看出是否是官方域名,也可以根据域名的拼写来判断。当然,有些钓鱼网站的作者会注册与官方域名拼写类似的域名,此时可根据域名的whois信息来判断。如果这些域名是在我朝的注册商注册,由于我朝的注册商几乎全部下线了隐私保护服务,因此可根据whois信息来判断该域名是否是官方域名。

举例说明一下。移动花卡宝藏版,在wx的官方号里,设置的申请地址的根域名是cmicrwx.cn。通过whois信息,该域名注册人是“中移互联网有限公司”,邮箱是“手机号@139.com”。于是可以判定,该域名是移动的官方域名。而那些所谓的联通号码申请页面对应的根域名均非联通的官方域名。

可是,说了这么多,还是无法改变很多人“只能用威信及其兄弟扫二维码”的潜意识。因此,注定还会有更多的人被骗。

除了这个因素,还有一个因素也是导致被骗的原因:贪图小便宜。这些所谓的联通互联网套餐,名字为“青春卡”、“冰神卡”、“疯牛卡”等,看起来月租低、流量多,确实吸引眼球。实际上都是被虚构出来的套餐。我是不是也可以虚构一个:联通大象卡,月租29.9元,流量29.99T/月。(斜眼笑)图小便宜吃大亏,这句话永远不要忘记。